refactor: ottimizzazione controlli su integrità

Author: Pek5892

modules/aggiornamenti/actions.php

@@ -34,65 +34,102 @@
 use Modules\Aggiornamenti\Controlli\TabelleLanguage;
 use Modules\Aggiornamenti\UpdateHook;
 
+// ========================================================================
+// FUNZIONI HELPER PER VALIDAZIONE QUERY
+// ========================================================================
+
+/**
+ * Definisce i pattern SQL sicuri per la validazione
+ */
+function getAllowedSqlPatterns()
+{
+    return [
+        '/^ALTER\s+TABLE\s+`?[\w]+`?\s+(ADD|MODIFY|CHANGE|DROP)\s+(COLUMN\s+)?`?[\w]+`?/i',
+        '/^CREATE\s+(UNIQUE\s+)?INDEX\s+`?[\w]+`?\s+ON\s+`?[\w]+`?\s*\(/i',
+        '/^DROP\s+INDEX\s+`?[\w]+`?\s+ON\s+`?[\w]+`?$/i',
+        '/^UPDATE\s+`?zz_views`?\s+SET\s+/i',
+        '/^INSERT\s+INTO\s+`?zz_\w+`?\s*\(/i',
+        '/^DELETE\s+FROM\s+`?zz_\w+`?\s+WHERE\s+/i',
+    ];
+}
+
+/**
+ * Valida una singola query rispetto ai pattern sicuri
+ */
+function isQuerySafe($query, $allowed_patterns)
+{
+    foreach ($allowed_patterns as $pattern) {
+        if (preg_match($pattern, trim((string) $query))) {
+            return true;
+        }
+    }
+    return false;
+}
+
+/**
+ * Filtra le query sicure da quelle pericolose
+ */
+function filterSafeQueries($queries, $allowed_patterns)
+{
+    $safe_queries = [];
+    $rejected = [];
+
+    foreach ($queries as $query) {
+        if (isQuerySafe($query, $allowed_patterns)) {
+            $safe_queries[] = $query;
+        } else {
+            $rejected[] = $query;
+        }
+    }
+
+    return compact('safe_queries', 'rejected');
+}
+
+/**
+ * Esegue le query sicure e ritorna i risultati
+ */
+function executeQueries($safe_queries, $dbo)
+{
+    $errors = [];
+    $executed = 0;
+
+    foreach ($safe_queries as $query) {
+        try {
+            $dbo->query($query);
+            ++$executed;
+        } catch (Exception) {
+            $errors[] = tr('Errore durante l\'esecuzione di una query.');
+        }
+    }
+
+    return compact('errors', 'executed');
+}
+
+// ========================================================================
+// LOGICA PRINCIPALE
+// ========================================================================
+
 $id = post('id');
 
 switch (filter('op')) {
     case 'risolvi-conflitti-database':
         $queries_json = post('queries');
         if (empty($queries_json)) {
-            echo json_encode([
-                'success' => false,
-                'message' => tr('Nessuna query ricevuta.'),
-            ]);
+            echo json_encode(['success' => false, 'message' => tr('Nessuna query ricevuta.')]);
             break;
         }
 
         $queries = json_decode($queries_json, true);
         if (empty($queries)) {
-            echo json_encode([
-                'success' => false,
-                'message' => tr('Nessuna query da eseguire.'),
-            ]);
+            echo json_encode(['success' => false, 'message' => tr('Nessuna query da eseguire.')]);
             break;
         }
 
-        if (empty($queries)) {
-            echo json_encode([
-                'success' => false,
-                'message' => tr('Nessuna query valida da eseguire.'),
-            ]);
-            break;
-        }
-
-        // TODO: Blindare maggiormente le query che il gestionale ha generato per la correzione dei conflitti a database
-        // WHITELIST: Permetti solo pattern SQL sicuri
-        $allowed_patterns = [
-            '/^ALTER\s+TABLE\s+`?[\w]+`?\s+(ADD|MODIFY|CHANGE|DROP)\s+(COLUMN\s+)?`?[\w]+`?/i',
-            '/^CREATE\s+(UNIQUE\s+)?INDEX\s+`?[\w]+`?\s+ON\s+`?[\w]+`?\s*\(/i',
-            '/^DROP\s+INDEX\s+`?[\w]+`?\s+ON\s+`?[\w]+`?$/i',
-            '/^UPDATE\s+`?zz_views`?\s+SET\s+/i',
-            '/^INSERT\s+INTO\s+`?zz_\w+`?\s*\(/i',
-            '/^DELETE\s+FROM\s+`?zz_\w+`?\s+WHERE\s+/i',
-        ];
-
-        $safe_queries = [];
-        $rejected = [];
-
-        foreach ($queries as $query) {
-            $is_safe = false;
-            foreach ($allowed_patterns as $pattern) {
-                if (preg_match($pattern, trim($query))) {
-                    $is_safe = true;
-                    break;
-                }
-            }
-
-            if ($is_safe) {
-                $safe_queries[] = $query;
-            } else {
-                $rejected[] = $query;
-            }
-        }
+        // Valida le query
+        $allowed_patterns = getAllowedSqlPatterns();
+        $filter_result = filterSafeQueries($queries, $allowed_patterns);
+        $safe_queries = $filter_result['safe_queries'];
+        $rejected = $filter_result['rejected'];
 
         if (!empty($rejected)) {
             echo json_encode([
@@ -104,36 +141,21 @@
         }
 
         if (empty($safe_queries)) {
-            echo json_encode([
-                'success' => false,
-                'message' => tr('Nessuna query valida da eseguire dopo la validazione.'),
-            ]);
+            echo json_encode(['success' => false, 'message' => tr('Nessuna query valida da eseguire dopo la validazione.')]);
             break;
         }
 
+        // Esegui le query
         $debug_queries = implode('<br>', $safe_queries);
-
-        $errors = [];
-        $executed = 0;
-
-        foreach ($safe_queries as $query) {
-            try {
-                $dbo->query($query);
-                ++$executed;
-            } catch (Exception $e) {
-                // Sanifica il messaggio di errore per evitare leak di informazioni
-                $errors[] = tr('Errore durante l\'esecuzione di una query.');
-            }
-        }
+        $execution_result = executeQueries($safe_queries, $dbo);
+        $errors = $execution_result['errors'];
+        $executed = $execution_result['executed'];
 
         if (empty($errors)) {
-            $success_message = tr('Tutte le query sono state eseguite con successo (_NUM_ query).', [
-                '_NUM_' => $executed,
-            ]);
-
+            $success_message = tr('Tutte le query sono state eseguite con successo (_NUM_ query).', ['_NUM_' => $executed]);
             flash()->info($success_message);
 
-            // Log dell'operazione di risoluzione conflitti database
+            // Log dell'operazione
             OperationLog::setInfo('id_module', $id_module ?? null);
             OperationLog::setInfo('options', json_encode([
                 'queries_executed' => $executed,

modules/aggiornamenti/checksum.php

@@ -21,119 +21,123 @@
 
 include_once __DIR__.'/../../core.php';
 
-// Aggiunta della classe per il modulo
+// ========================================================================
+// FUNZIONI HELPER PER CONTROLLO CHECKSUM
+// ========================================================================
+
+/**
+ * Carica i checksum dal file principale e dai moduli premium
+ */
+function loadAllChecksums()
+{
+    $checksum = [];
+
+    // Carica checksum principale
+    $main_checksum_file = base_dir().'/checksum.json';
+    if (file_exists($main_checksum_file)) {
+        $contents = file_get_contents($main_checksum_file);
+        $checksum = json_decode($contents, true) ?: [];
+    }
+
+    // Carica checksum dai moduli premium
+    $module_checksum_files = glob(base_dir().'/modules/*/checksum.json') ?: [];
+    foreach ($module_checksum_files as $module_checksum_file) {
+        $module_contents = file_get_contents($module_checksum_file);
+        $module_checksum = json_decode($module_contents, true);
+        if (!empty($module_checksum)) {
+            $checksum = array_merge($checksum, $module_checksum);
+        }
+    }
+
+    return $checksum;
+}
+
+/**
+ * Verifica l'integrità dei file rispetto ai checksum
+ */
+function verifyFileIntegrity($checksum)
+{
+    $errors = [];
+    foreach ($checksum as $file => $md5) {
+        $verifica = md5_file(base_dir().'/'.$file);
+        if ($verifica != $md5) {
+            $errors[] = $file;
+        }
+    }
+    return $errors;
+}
+
+/**
+ * Renderizza la tabella degli errori di integrità
+ */
+function renderIntegrityErrorsTable($errors)
+{
+    $html = '<p>'.tr("Segue l'elenco dei file che presentano checksum diverso rispetto a quello registrato nella versione ufficiale").'.</p>';
+    $html .= '<div class="alert alert-warning"><i class="fa fa-exclamation-triangle"></i> '.tr('Attenzione: questa funzionalità può presentare dei risultati falsamente positivi, sulla base del contenuto del file _FILE_', ['_FILE_' => '<b>checksum.json</b>']).'.'.
+    '</div>';
+    $html .= '<table class="table table-bordered table-striped table-hover"><thead><tr><th>'.tr('File con integrità errata').'</th></tr></thead><tbody>';
+
+    foreach ($errors as $error) {
+        $html .= '<tr><td class="file-integrity-error"><i class="fa fa-exclamation-triangle"></i> '.$error.'</td></tr>';
+    }
+
+    $html .= '</tbody></table>';
+    return $html;
+}
+
+// ========================================================================
+// LOGICA PRINCIPALE
+// ========================================================================
+
 echo '<div class="module-aggiornamenti">';
 
 $file = basename(__FILE__);
 $effettua_controllo = filter('effettua_controllo');
 
-// Schermata di caricamento delle informazioni
+// Schermata di caricamento
 if (empty($effettua_controllo)) {
     echo '
-<div id="righe_controlli">
-
-</div>
-
+<div id="righe_controlli"></div>
 <div class="alert alert-info" id="card-loading">
     <i class="fa fa-spinner fa-spin"></i> '.tr('Caricamento in corso').'...
 </div>
-
 <script>
 var content = $("#righe_controlli");
 var loader = $("#card-loading");
 $(document).ready(function () {
     loader.show();
-
     content.html("");
     content.load("'.$structure->fileurl($file).'?effettua_controllo=1&id_module='.$id_module.'", function() {
         loader.hide();
     });
 })
 </script>';
-
+    echo '</div>';
     return;
 }
 
-$contents = file_get_contents(base_dir().'/checksum.json');
-$checksum = json_decode($contents, true);
-
-// Carica e accoda i checksum dei moduli premium
-$modules_dir = base_dir().'/modules/';
-$module_checksum_files = glob($modules_dir.'*/checksum.json');
-
-if (!empty($module_checksum_files)) {
-    foreach ($module_checksum_files as $module_checksum_file) {
-        $module_contents = file_get_contents($module_checksum_file);
-        $module_checksum = json_decode($module_contents, true);
-
-        if (!empty($module_checksum)) {
-            // Accoda i checksum del modulo a quello principale
-            $checksum = array_merge($checksum, $module_checksum);
-        }
-    }
-}
+// Carica checksum
+$checksum = loadAllChecksums();
 
 if (empty($checksum)) {
-    echo '
-<div class="alert alert-warning">
-    <i class="fa fa-warning"></i> '.tr('Impossibile effettuare controlli di integrità in assenza del file _FILE_', [
-        '_FILE_' => '<b>checksum.json</b>',
-    ]).'.
-</div>';
-
+    echo '<div class="alert alert-warning"><i class="fa fa-warning"></i> '.tr('Impossibile effettuare controlli di integrità in assenza del file _FILE_', ['_FILE_' => '<b>checksum.json</b>']).'.'.
+    '</div></div>';
     return;
 }
 
-// Controllo degli errori
-$errors = [];
-foreach ($checksum as $file => $md5) {
-    $verifica = md5_file(base_dir().'/'.$file);
-    if ($verifica != $md5) {
-        $errors[] = $file;
-    }
-}
+// Verifica integrità
+$errors = verifyFileIntegrity($checksum);
 OperationLog::setInfo('id_module', $id_module);
 
-// Schermata di visualizzazione degli errori
+// Renderizza risultati
 if (!empty($errors)) {
-    echo '
-<p>'.tr("Segue l'elenco dei file che presentano checksum diverso rispetto a quello registrato nella versione ufficiale").'.</p>
-<div class="alert alert-warning">
-    <i class="fa fa-exclamation-triangle"></i>
-    '.tr('Attenzione: questa funzionalità può presentare dei risultati falsamente positivi, sulla base del contenuto del file _FILE_', [
-        '_FILE_' => '<b>checksum.json</b>',
-    ]).'.
-</div>
-
-<table class="table table-bordered table-striped table-hover">
-    <thead>
-        <tr>
-            <th>'.tr('File con integrità errata').'</th>
-        </tr>
-    </thead>
-
-    <tbody>';
-
-    foreach ($errors as $error) {
-        echo '
-        <tr>
-            <td class="file-integrity-error">
-                <i class="fa fa-exclamation-triangle"></i> '.$error.'
-            </td>
-        </tr>';
-    }
-
-    echo '
-    </tbody>
-</table>';
+    echo renderIntegrityErrorsTable($errors);
 } else {
-    echo '
-<div class="alert alert-info">
-    <i class="fa fa-info-circle"></i> '.tr('Nessun file con problemi di integrità').'.
-</div>';
+    echo '<div class="alert alert-info"><i class="fa fa-info-circle"></i> '.tr('Nessun file con problemi di integrità').'.'.
+    '</div>';
 }
+
 OperationLog::setInfo('options', json_encode(['controllo_name' => 'Controllo file'], JSON_UNESCAPED_UNICODE));
 OperationLog::build('effettua_controllo');
 
-// Chiusura del div module-aggiornamenti
 echo '</div>';